Perché la norma Iso 27001
non è compliant per il GDPR
La norma ISO 27001 è costruita sul presupposto che una informazione, per essere definita sicura debba avere tre proprietà:
- Riservatezza: proprietà di una informazione di non essere disponibile o rivelata a individui, entità o processi non autorizzati;
- Integrità: proprietà di accuratezza e completezza;
- Disponibilità: proprietà di essere accessibile e utilizzabile su richiesta di una entità autorizzata.
In genere ci si riferisce a queste proprietà come parametri RID.
Il GDPR ha invece come scopo la protezione delle persone fisiche con riguardo al trattamento dei dati personali e prescrive che i trattamenti di questa tipologia di dati rispettino i principi di
- Liceità
- Correttezza
- Trasparenza
Inoltre, secondo l’art.5 del GDPR i dati:
- devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
- adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
- esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
- conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
- trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
Dunque un sistema di protezione dei dati basato sui requisiti della ISO 27001, sebbene molto efficace a garantirne proprio integrità e riservatezza, non è in grado da solo di garantire quei requisiti tipici del trattamento dei dati personali quali la liceità, trasparenza, correttezza, minimizzazione, e inutilizzabilità oltre il periodo entro il quale il trattamento è lecito.
Alla base di questa incompatibilità ci sono proprio i presupposti diversi dei due regolamenti: il Regolamento Europeo ha come focus la persona fisica e non l’informazione in sé.
Per qualsiasi dubbi e/o chiarimento in materia di Qualità, Vi invitiamo a contattare il nostro Studio.